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1. Die COVID-19-Pandemie 
in Deutschland - 
und im Cyberspace 


Am 11.03.2020 stufte die Weltgesundheitsorganisation die Ausbreitung des Coronavirus (SARS- 
CoV-2 bzw. COVID-19) als globale Pandemie ein. Seitdem sind weltweit gravierende Auswirkun- 
gen auf nahezu alle Lebensbereiche spürbar: anfängliche Grenzschlief3ungen, das umfassende 
Ausweichen auf Home-Office, die bundesweite Schließung von Schulen, das Kontakt- sowie 
Veranstaltungsverbot, Social Distancing, die Schliefßtung von Gastronomiebetrieben und anderen 
Möglichkeiten der Freizeitgestaltung. Corona hat die Gesellschaft bis heute maßgeblich geprägt. 


Der Branchenverband Bitkom fand in einer Umfrage! heraus, dass durch den Wegfall „analoger 
Angebote“ die Nutzung ihrer digitalen Pendants zunahm. Im Zuge der COVID-19-Pandemie 
wurde das Internet zum einen von der Bevölkerung verstärkt als Informationsquelle und Frei- 
zeitbeschäftigung genutzt, zum anderen haben die veranlassten Home-Office-Mafsnahmen eine 
verstärkte Nutzung dieses Mediums zur Konsequenz. Vor allem Musik- und Videostreaming- 
Dienste wurden vermehrt genutzt. Ebenfalls eine logische Konsequenz des Social Distancing: 
der intensivere Gebrauch von Messengerdiensten, E-Mails und Social Media-Plattformen. 


Die IT-Infrastruktur des Landes fungiert gerade in diesen Zeiten als eine grundlegende Säule für 
die Aufrechterhaltung der öffentlichen Ordnung und der Wirtschaftsprozesse. Sie gewährleistet 
sowohl den Austausch von Informationen zwischen Forschern und Medizinern als auch die 
Abwicklung von Versorgungsketten lebenswichtiger Waren und Güter. 


Die Gesellschaft weicht im Zuge der Corona-Krise vermehrt auf die 
digitale Welt aus - ein perfekter Nährboden für Cyberkriminelle. 


Cyberkriminelle fanden schnell einen Weg, um die Ausbreitung des Virus, die damit einherge- 
henden Sorgen und Unsicherheiten in der Bevölkerung sowie die vermehrte Nutzung von digita- 
len Angeboten für ihre Zwecke zu missbrauchen. Ob durch Phishing-Mails, DDoS-Attacken oder 
durch die Durchführung und Verbreitung von Desinformationskampagnen, es entwickelten 

sich zahlreiche neue Varianten für Cyber-Angriffe, welche alle als gemeinsamen Nenner die 
Corona-Krise als Narrativ ihrer Angriffe nutzten. 


So viel vorweg: Bei den Tätern handelt es sich nach hier vorliegenden Erkenntnissen vielfach um 
bereits auf dem kriminellen Markt aktive Cyberkriminelle, die sich in den meisten bekannten 
Fällen etablierter Modi Operandi und Angriffsmethoden bedienen. Jedoch: Die verwendete 
„Geschichte“ hat sich den gesellschaftlichen Umständen angepasst. Die Täter nutzen eine hohe 
Bandbreite an „typischen“ Cyberangriffswerkzeugen und kombinieren diese mit einer für die 
Bevölkerung belastenden, emotional wirkenden Thematik. 


1 Abrufbar unter: https://www.bitkom.org/Presse/Presseinformation/Seit-Corona-Ausbruch-Online-Dienste-gefragt-wie- 
nie 
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2. Polizeiliche Meldungen 


Im Zusammenhang mit der Covid-19-Pandemie vereinbarte das BKA mit den Landeskriminal- 
ämtern einen anlassbezogenen Meldedienst, bei dem das zahlenmäßige Aufkommen und Modi 
Operandi von Cybercrime-Straftaten gesammelt und analysiert werden. 


Im Rahmen dieses polizeilichen Meldedienstes wurden bis zum 27.07.2020 folgende Fallzahlen 
übermittelt: 


Bundesland CCieS’ CCiwS’ 

Baden-Württemberg 8 6 
Bayern? 32 46 

Berlin 1 0 
Brandenburg 0 1 
Hamburg 0 9 
Hessen® 3 3 
Mecklenburg-Vorpommern 0 0 

Niedersachsen 68 258 
Nordrhein-Westfalen®? 2 2 
Rheinland-Pfalz 0 90 


? Cybercrime im engeren Sinne: Ausspähen und Abfangen von Daten, Datenveränderung und -sabotage 
> Cybercrime im weiteren Sinne umfasst Straftaten, bei denen IT-Systeme zur Planung, Vorbereitung und 
Ausführung verwendet wurden. 

“Ein Fall kann dabei eine Vielzahl von zusammengehörenden Einzelvorgängen umfassen. 

So wurden im Zusammenhang einer Corona-Phishing-Welle mit Stand Montag, 27.07.20, allein in Bayern 
rund 500 Sachverhalte angezeigt. 

> Laut Pressemitteilung der Generalstaatsanwaltschaft Frankfurt am Main werden in Hessen über 

50 Ermittlungsverfahren wegen des Verdachts von Straftaten im Zusammenhang mit Anträgen auf 
staatlich finanzierte „Corona-Soforthilfezahlungen“ geführt. Dies wird in der Statistik als ein Fall aufgeführt - 
siehe Fußnote 4. 

6 Einrichtung einer Ermittlungskommission zum Subventionsbetrug mit mehr als 100 eingegangenen 
Online-Anzeigen. Ermittlungsverfahren u.a. wegen des Verdachts des gewerbsmäßigen Betruges und 
des Ausspähens von Daten. Dies wird in der Statistik als ein Fall aufgeführt - siehe Fußnote 4. 

’ Einrichtung einer Ermittlungskommission - zentrale Ermittlungsführung im Zusammenhang mit den 
Fake-Webseiten zum Thema Corona-Soforthilfe. Siehe hierzu auch die Ausführungen auf der Folgeseite. 
Mit Stand vom 27.07.2020 sind hierzu mehr als 1200 Strafanzeigen eingegangen. 

Dies wird in der Statistik als ein Fall aufgeführt - siehe Fußnote 4. 
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Saarland 0 5 


Sachsen 7 15 
Sachsen-Anhalt 0 7 
Schleswig-Holstein 17 34 
Thüringen 3 1 
Gesamtergebnis 141 Fälle 471 Fälle 


Um eine einheitliche statistische Vorgehensweise zu gewährleisten, flossen verschiedene 
Sachverhalte als nur ein Verfahren in die obige Zählung ein, auch wenn teilweise Strafanzeigen 
im vierstelligen Bereich einem Tatkomplex zugeordnet werden konnten. 


Das Land Nordrhein-Westfalen (NW) hat Anfang April 2020 eine Ermittlungskommission ein- 
gerichtet, die sich mit Fake-Seiten zum Thema Corona - Soforthilfe befasst. Die Staatsanwalt- 
schaft Köln stuft dieses Verfahren als gewerbsmäfsigen Betrug im Sinne des 8263 StGB ein. Mit 
Stand vom 14.09.2020 sind bei der Polizei NW mehr als 1.200 Strafanzeigen zu dieser Thematik 
eingegangen. 


Das LKA NW richtete zudem eine Ermittlungskommission wegen Subventionsbetrugs-Delikten 
im Zusammenhang Corona-Soforthilfen ein. Hierzu gingen bisher mehr als 100 Online-Anzeigen 
ein. 


Im Zusammenhang mit der Corona-Phishing-Welle wurden in Bayern mit Stand vom 27.07.2020 
rund 500 Sachverhalte angezeigt. 


Die Zulieferungen der Landeskriminalämter zeigen auf, dass es sich bei den gemeldeten Fällen 
schwerpunktmäßig um Cybercrime im weiteren Sinne handelt®. Die Betrugshandlungen im 
Zusammenhang mit der Beantragung der Corona-Soforthilfen und dem damit verbundenen 
kurzzeitigen Stopp der Auszahlungen in einigen Bundesländern sorgten dabei auch für ein 
hohes mediales Interesse. 


8 Aufgrund veränderter Erhebungsmodalitäten haben sich geringfügige Veränderungen bei den abgebildeten Fallzahlen 
im Vergleich zur vorherigen Berichterstattung ergeben. 
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Zu konkreten Phänomenausprägungen meldeten die Landeskriminalämter u. a. folgende 
Fallbeispiele: 


Cybercrime 


@Nl-Igeigisıl- 
im weiteren Sinne 


im engeren Sinne 





Gefakte Webseiten zur Beantragung von 


Soforthilfe-Zahlungen Hauptsächlich Fake-Shops und -Webseiten. 


e- e- 
Erpressungsversuch per E-Mail mit folgendem 
Distribution von Schadsoftware via Phishing-Mails. Narrativ: Mitarbeiter einer Firma sei mit Corona 
Vermeintlicher Absender ist die Bundesregierung infiziert, Zahlung von 0,3 Bitcoin, sonst Meldung 


an Behörden. 
vw 


Firmen in verschiedenen Bundesländern erhielten 
(Phishing-)Mails, vermeintlich von der 
Arbeitsagentur (kurzarbeitergeld@arbeitsagentur.de 
oder kurzarbeitergeld@arbeitsagentur-service.de). 
Darin wurde die Übermittlung von firmeninternen 
Daten gefordert. 


Phishing-Mails auch im Kontext 
Fördergelder/Förderbanken 


v 


Website der angeblichen Firma ID 1 Digital UG, die 
Unterstützung bei der Beantragung von Förderungen 
anbietet und Daten von Nutzern nach Eingabe 
abgreift. 


“ 


Ausspähen von Daten im Zusammenhang 
mit dem Online-Banking 
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3. Die primäre Bedrohung - 
Fake-Webseiten, Phishing und 
Malware Spamming 


3.1 Betrug mittels gefälschter Corona-Soforthilfe-Webseiten 


Im LKA NW gingen ab dem 08.04.20 vermehrt Anzeigen zu Fake-Webseiten ein, auf denen 
unbekannte Täter versuchten, Unternehmensdaten auszuspähen, um diese in der Folge für 
betrügerische Anträge auf Fördergelder einzusetzen. Genutzt wurde hierfür ein von den Tätern 
auf die Webseite gestelltes Formular, welches dem Originalantrag zur Erlangung der Förder- 
gelder täuschend ähnlich sein sollte. Die Erfolgsaussicht der Täter wurde dadurch erhöht, dass 
bei einer Google-Suche nach „Soforthilfe NRW“ auch Links und Suchergebnisse erschienen, 
welche auf die gefälschten Seiten führten. Folgend ein Screenshot besagter Fake-Website: 


Gefördert durch 


| Bersesregerung Antrag auf NRW-Soforthilfe 2020 IN FR V\ 
an die Bezirksregierung HILFE 


E ! 

Fan 

aufgrund eines Beschlusses BRD 
des Deutschen Bundestages 








Antrag auf Gewährung einer Soforthilfe für von der Corona-Krise 03/2020 besonders 
geschädigte Unternehmen und Angehörige Freier Berufe einschließlich Soloselbstständige 
aus dem Soforthilfeprogramm des Ministeriums für Wirtschaft, Innovation, Digitalisierung 
und Energie des Landes Nordrhein-Westfalen sowie dem Bundesprogramm „Soforthilfe 
für Kleinstunternehmer und Soloselbständige“ 

(„NRW- Soforthilfe 2020“) 


1. Antragsteller: 


Abbildung 1: Screenshot der Fake-Webseite zur NRW-Soforthilfe 


Das LKA NW konnte im Zuge ihrer Ermittlungen mehrere Domains dieser Art identifizieren, 
die teilweise kurz nach Bekanntwerden des Sachverhalts durch sog. Abuse-Meldungen des LKA 
NW vom Netz getrennt werden konnten. Nach derzeitigem Stand gingen beim LKA NW mehr 
als 1.200 Online-Anzeigen in diesem Zusammenhang ein’. 


Aufgrund dieser massiven Betroffenheit setzte das nordrhein-westfälische Wirtschaftsministe- 
rium vorübergehend die Auszahlung von Corona-Soforthilfen für Selbstständige und Unter- 
nehmen aus. Die Bundesländer Baden-Württemberg, Hamburg und Sachsen meldeten ähnlich 
gelagerte Fälle. 


9 Siehe Seite 6 
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Das BKA als kriminalpolizeiliche Zentralstelle unterstützte die Ermittlungen der Länderdienst- 
stellen durch quervergleichende Abklärungen der technischen Spuren hinsichtlich möglicher 
Täteridentitäten. Ferner war einzukalkulieren, dass durch die unbekannten Täter weitere 
Phishing-Angriffe erfolgten bzw. beabsichtigt waren, sodass durch die zuständige Landespolizei 
präventivpolizeiliche Maßnahmen eingeleitet und fortgesetzt wurden. 


Die Polizei in Berlin wurde im April 2020 von der dortigen Investitionsbank Berlin über eine 
Phishing-Webseite, die den Internetauftritt der Bank nachahmt (http://www.ibb.de), informiert. 
Die weiteren Ermittlungen ergaben, dass täterseitig über eine zusätzlich darüber verlinkte 
weitere Phishing-Seite!? ein Online-Formular für die Beantragung von finanziellen Soforthilfen 
bereitgestellt wurde. Ziel dürfte die unberechtigte Erlangung von personenbezogenen Daten 
gewesen sein, um damit Folgestraftaten zu begehen. 


Bezogen auf diesen Modus Operandi wurden weitere Ermittlungen in Nordrhein-Westfalen, 
Hamburg, Sachsen und Berlin geführt und durch das BKA als Zentralstelle unterstützt. 


Auch international ist seit der COVID-19 -Pandemie die Anzahl an maliziösen Domains und 
betrügerischen Fake-Shops, welche zum Beispiel „Corona-Virus-Heimtests“ und andere 
gefälschte Waren anbieten, stark angestiegen. 


Eine Auswertung durch TrendMicro!! ergab, dass von 47.610 Aufrufen maliziöser Corona- 
spezifischen Domains ca. 9,8 Prozent aus Deutschland erfolgten. Ein Großteil dieser Aufrufe 
sei auf Spam-Mails zurückzuführen. 


Unit42, Kooperationspartner von EC3"2, berichtet im Report „Studying How Cybercriminals 
Prey on the COVID-19 Pandemic”", dass im Zeitraum vom 01.01.2020 bis 31.03.2020 116.357 neu 
registrierte Domains mit Corona-Bezug identifiziert worden seien. Seit dem 12.03.2020 würden 
circa 3.000 Domains pro Tag registriert. Von diesen Domains seien 1,74 Prozent (2.022) eindeutig 
maliziös, während über ein Drittel (40.261) als hochriskant eingestuft würden. Die Anzahl an 
maliziösen bzw. „high-risk“ Domains sei den Untersuchungen zufolge im Zeitraum Februar und 
März 2020 um ca. 569 Prozent respektive 788 Prozent gestiegen. 


Eine weitere Auswertung seitens Unit42 hinsichtlich der eindeutig maliziösen Domains habe 
ergeben, dass circa 16 Prozent für Phishing-Angriffe und zum Abgreifen von Nutzerdaten 
verwendet, während 84 Prozent zum Hosten verschiedener Malware genutzt würden. 


10 http://www.corona-zuschuss-ibb.de/ 

1! Erhebungszeitraum: 01.01. - 31.03.2020; online abrufbar unter: https://www.trend- 
micro.com/vinfo/us/security/news/cybercrime-and-digital-threats/coronavirus-used-in-spam-malware-file-names-and- 
malicious-domains 

22 European Cybercrime Centre von EUROPOL 

23 https://unit42.paloaltonetworks.com/how-cybercriminals-prey-on-the-covid-19-pandemic/ 
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3.2 Bundesweite Phishing-Kampagne mit Corona-Bezug 


Seit dem 04.05.2020 wurden dem BKA von mehreren Bundesländern Corona-Phishing-Fälle 
im Zusammenhang mit den Investitionsbanken diverser Bundesländer gemeldet. 


Durch die Täter wurden unter Verwendung der E-Mail Adresse „corona-zuschuss@for- 
derbank.de.com“, wobei „Förderbank“ durch die Domain der jeweiligen Landesförderbank 
ausgetauscht wird (also z.B. corona-zuschuss@ibb.de.com für die Investitionsbank Berlin), 
Phishing-Mails distribuiert. Bei Aufruf der betrügerischen E-Mail-Domain erfolgte eine 
Weiterleitung auf die legitimen Webseiten der jeweiligen Förderbanken bzw. der Bundesländer, 
um Authentizität vorzutäuschen. 


In den übersendeten Phishing-Mails wurde eine Drohkulisse hinsichtlich einer Rückförderung 
von Fördergeldern aufgebaut und das angeschriebene Opfer aufgefordert, Unternehmensdaten 
für eine Übermittlung an das Finanzamt auszufüllen. In einem zweiten Schritt erfolgte durch 

die Täter dann die Übermittlung von Kontodaten, auf welche die überschüssig gezahlten Förder- 
gelder zurücküberwiesen werden sollen. 


Durch die LKÄ wurden auch in Zusammenarbeit mit verschiedenen Handelskammern entspre- 
chende Warnmeldungen sowohl auf den Webseiten der Förderbanken als auch im Rahmen von 
Social Media Postings und Pressemitteilungen veröffentlicht. 


Mehrere Bundesländer sowie das BKA gaben zu diesem Modus Operandi Warnmeldungen 
heraus. 


Im weiteren Verlauf der Ermittlungen wurde bekannt, dass die Schäden, welche im Kontext der 
Corona-Soforthilfen gemeldet wurden, mit überwiegender Mehrheit dem Subventionsbetrug 
zuzuordnen sind. Alleine in Berlin ist der dadurch entstandene Schaden auf circa 3,2 Millionen 
Euro zu beziffern. 


Finanzielle Schäden, die durch Phishing-Mails bzw. Fake-Webseiten entstanden, bewegen sich - 
im Vergleich zum klassischen Subventionsbetrug - im niedrigen Bereich. 
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3.3 Malware Spamming (Malspam) 


Seit Beginn der Covid-19-Pandemie wurden seitens verschiedener Cybercrime-Gruppierungen 
mehrere Spam- und Phishing-Kampagnen mit internationalem Charakter generiert. Vermeintli- 
che Absender sind Behörden (WHO, Gesundheitsministerium etc.), Dienstleister (Paket- und 
Lieferdienste) oder als vertrauenswürdig geltende Berufsgruppen (Ärzte, Virologen). 

Die Narrative der Phishing-Mails sind dabei auf Unsicherheit, Neugier und das hohe Informati- 
onsbedürfnis in der Bevölkerung zugeschnitten. Ziel des Phishings ist dabei, mittels gefälschter 
Homepages, maliziösen Dokumenten und Schadsoftware an digitale Identitäten bzw. monetäre 
Mittel zu gelangen. Folgendes Beispiel für derartiges Phishing wurde durch die Behörden des 
Cyber-AZ identifiziert: 


Yon: Klein <kurzarbeite 
Betreff: Kurzarbeitergeld 

Datum: 1. Apr 2020 um 21:15:59 MESZ 
Ar: 


Schr grch rer BO 





wie Sie schon vieBeicht In den Medien gelesen haben, 8t es zur Zeit möglich Ihre Mitarbeiter in Kurzzeitarbeit zu schicken. 
Dies beudeutel, dass wir als Arbeitsagen tur Ihnen Ihre Lohria is gaben an Ihre Mitarbeiter erstatten. 

Ausserdem heilen wir Ihren Zuschüsse für Ihr Unternehmen beim Bund und der Lendesbarnk zu beantragen. 

Sollten Sie dese Hilfen ın Anspruch nehmen wollen, brauchen wir von Ihnen folgende Angaben: 


- Hame und Anschrift des Unternehmens 

- Name und Andresse des Frrmeninhabers 

- Stauertumimmer des Unternehmen: (Falk vananden) 

- Steuer ID Firmeninhabers 

- Persoralauswes oder Pasnummer des Frmeninhabers 

- Betriebsnummer (falls vorhanden} 

- Anzahl der Mitärbieter 

- Die Namen und Sorialversicherungsmummern der Mitarbeiter 





Bitte scndcen Sic die Dütonan: 
YYır werden Ihre Anfrage in kürzester Zeit bearbeiten 


Anbei noch Informetionen zum Kurzarnbeiterge id und Coronahilfen: 


Hinweis: Aktuelle Änderungen zum Kurzarbeitergeld können Sie dem Bundesgesetzblatt vom 15.02.2020 entnehmen: https: er 


ulhrer weiteren Infarmalon finden Sie swel villes su Alesem Thema ıınter 


https) www. srberbengentur. de/unternehmen fhnannell’kurzarbeitergeld-#ideo 





Einen — nicht verbindlichen — Rechner ıur Berechnung des Kurzarbeitergeldes finden Sie unter: 


ATEE 7 Wr Sm -Fechner Dez umarbeft, hner.oho 





Fragenkatalog des BMAS zum Thema „Coronevirus: Arbeitsrechtliche Auswirkungen": https: wear. brres.de /DE/Presse leldur 





Kirt Teundlichen Grüßen 


kristof- Klein - Arbeitewernmittier, 53410 - 
Gemeinsamer Arbeitgeber-Service 
der Agentur für Arbeit 


efvlail. ku zn berler yealidaı beils apenıdum sei vee.ıle 





Abbildung 2: Screenshot einer typischen Phishing-Mail 
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Das CERT-EU"* berichtete am 21.04.2020°5, dass beobachtete Phishing-Attacken hauptsächlich 
die Corona-Narrative als Inhalt der Betreffzeilen verwenden. Gerade zu Beginn der Corona-Krise 
konnte ein massiver Anstieg an Malspam verzeichnet werden. Ab April allerdings sank die 
Anzahl bereits wieder und stabilisierte sich in den Folgewochen auf ein „durchschnittliches“ 
Niveau - im Mai und Juni sank die Anzahl der Malspam-Flut noch weiter. 


Google meldete am 16. April 2020, dass das Unternehmen pro Tag circa 240 Millionen Spam- 
Mails und pro Woche circa 18 Millionen Phishing-Mails mit Corona-Narrativen blockiere.'® 


Auch die Anzahl der identifizierten Malware-Familien, welche in spezifischen, auf die Corona- 
Pandemie angepassten Kampagnen eingesetzt wurden, weist einen ähnlichen Verlauf auf. In der 
Abbildung’’ unten ist die summierte Häufigkeit der erkannten Malware-Familien dargestellt. 
Auch hier war zunächst ein starker Anstieg an identifizierten Malware-Familien im März/Anfang 
April erkennbar, ehe sich diese Zahl ab Ende April auf einem hohen Niveau stabilisierte. 


Phishing-Mails der während der Corona-Krise gestarteten Kampagnen enthielten häufig Office- 
Dokumente, welche als Dropper für Schadsoftware dienten - darunter auch die bekannten und 
sehr gefährdungsrelevanten Malware-Familien Emotet'®, Agent Tesla? und Trickbot”®. 


Als Narrative für die Distribution in Deutschland wurden z.B. Antragsformulare für „Familien- 
und Krankenurlaub“ verwendet - als angeblicher Absender wurde das Bundesgesundheits- 
ministerium?! verwendet. 


1# Computer Emergency Response Team der EU - zuständig für die Sicherheit aller Netze der 

EU-Institutionen, Agenturen und Einrichtungen 

15 https://media.cert.europa.eu/static/MEMO/2020/TLP-WHITE-2020Q1-Threat_Landscape_Report-Executive-Summary- 
v1.0.pdf 

16 https: //cloud.google.com/blog/products/identity-security/protecting-against-cyber-threats-during-covid-19-and- 
beyond 

COVID 19 Cyber-Bulletin #10 

18 https: //www.mcafee.com/blogs/other-blogs/mcafee-labs/covid-19-malware-makes-hay-during-a-pandemic/ 

19 Unit42 bestätigt die Distribution von AgentTesla: https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks- 
target-government-and-medical-organizations/ 

20 Cyberreason: JUST BECAUSE YOU’RE HOME DOESN’T MEAN YOU'RE SAFE; 18.03.2020; https://www.cy- 
bereason.com/blog/just-because-youre-home-doesnt-mean-youre-safe 

21 https://www.heise.de/newsticker/meldung/Warnung-vor-Phishing-Mails-mit-Antragsformular-Familien-und-Kranken- 
urlaub-4701426.html 
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Bundesministerium 
für Gesundheit 





Sehr sehr geehrte Mitarbeiterin, sehr geehrter Mitarbeiter, 


diese Mitteilung wird allen berechtigten Mitarbeitern zugesendet, um bestimmte Anpassungen weiterzugeben, welche am aktuellen || 
Familben- und Krankenurlaub im Hinblick auf die neueste Coranavirus-Entwicklung vorgenommen wurden. Wir erwarten, dass Se | 
diese Änderungen durchlesen und genau verstehen. Diese wesentlichen VerÄenderunge stehen grundsAetzlich in Verbindung mit | 
dem Antragsformular [Ar Mitarbeiter auf Urlaub gemAefÄt dem ArbeionehmergesetzA und gelten vom 11, April 2020, Bitte prÄäkfen | 
Sie auf Basis des Arbeitsrechts die Dokumente zum Arıtrag von Urlaub genau, Versuchen Se die vorgenommenen A,nderungen zu 
verstehenund senden Sie das ausgefÄl4llkte Antragsformular bis zum 11. April 2020 anı die Personalabteilung. 


Dies Banschrichtiguwng wurde automatksch erstellt. Eine direkte Arıtwort auf Bese elektronische E-Mail st nicht mAnglich 
Freundliche GrAKAYe 


Arbeitsministerium 
Lahn- und Stundenabtedung 





Abbildung 3: Screenshot einer Spam-Mail, in welcher sich der Absender als das Bundesministerium für Gesundheit ausgibt. 
Narrativ ist ein angeblich neues Urlaubsformular. 


Auf ihrem Dashboard? veröffentlichen die IT-Sicherheitsforscher von McAfee weitere dort 
identifizierten Informationen hinsichtlich Cyberangriffen mit COVID-19-Bezug. Demnach 
wurden im Zeitraum Januar bis Juli 2020 ca. 1,5 Millionen Angriffe mit COVID-19-Narrativen 
aufgezeichnet, 95.311 davon in Deutschland. Weitere Angaben seitens McAfee legen nah, dass 
Deutschland im Allgemeinen eines der am häufigsten betroffenen Länder hinsichtlich derartiger 
Attacken sei. 


Auf europäischer Ebene warnte Europol (EC3) vor verschiedenen, möglichen Angriffsvektoren 
im Zuge der Corona-Pandemie, allen voran der Verbreitung von Fake-Apps oder der Kompro- 
mittierung von Webseiten via DNS-Hijacking. In diesem Zusammenhang wurde zudem über die 
steigende Distribution von Malware (z.B. AZORult), welche über das Aufrufen von inkriminierten 
Corona-Virus-Dashboards gestreut wird, berichtet. Ziel ist es, Daten wie Passwörter, Kredit- 
karteninformationen und Usernamen sozialer Medien auszuspähen. Nachfolgend ein Beispiel 
für ein derartiges Dashboard’*: 


22 https://www.mcafee.com/enterprise/en-us/lp/covid-19-dashboard.html 
23 Abrufbar unter: coronavirus.jhu.edu/map.html 
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Abbildung 4: Corona-Dashboard - siehe Fußnote 23 


Darüber hinaus wurden im Darknet Phishing-Betrugskampagnen beworben, die darauf abzielen, 
illegitime und maliziöse Apps im Sinne von „Coronavirus Maps“ zu verbreiten. 


Das CERT-EU gab an, keinen Anstieg an erfolgreichen Cyberangriffen auf EU-Institutionen fest- 
gestellt zu haben. Global seien staatliche Akteure und gezielte Infiltrationen in IT-Systeme von 
Gesundheitseinrichtungen zu verzeichnen. Ebenfalls warnt das CERT-EU vor Desinformations- 
kampagnen via Twitter. 


Anfang April veröffentlichte das CERT-US in Zusammenarbeit mit dem US Department of 
Homeland Security, der Cybersecurity and Infrastructure Security Agency und dem National 
Cyber Security Centre (NCSC/UK) eine gemeinsame Warnung hinsichtlich möglicher Cyber- 
angriffe im Zuge der Corona-Pandemie?’. In dem Report warnten die Behörden vor den 
„typischen“ Angriffsmustern seitens APT? und Cyberkriminellen, namentlich Phishing, 
Malware-Distribution, maliziöse Domains sowie Angriffe auf Telearbeit-Infrastrukturen 
(z.B. via Remote-Zugriff). Auch diese Behörden warnten vor dem „Corona-Narrativ“, welches 
das Informationsbedürfnis der Bürger ausnutzt. Im Bereich des Phishings (auch über mobile 
Endgeräte) wurde konkret vor Mails und SMS mit folgenden Betreffen gewarnt: 


= 2020 Coronavirus Updates 
= Coronavirus Updates 
= 2019-nCov: New confirmed cases in your City 


= 2019-nCov: Coronavirus outbreak in your city (Emergency) 


24 EC3 
25 https://www.us-cert.gov/ncas/alerts/aa20-099a 
26 Advanced Persistent Threats - hochprofessionelle Gruppierungen mit besonders hohen Ressourcen-Kapazitäten 
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Das NCSC/UK identifizierte weiter diverse E-Mails, welche zur Verbreitung des Info-Stealers 
AgentTesla genutzt werden. Andere Kampagnen beinhalten Excel-Dateien mit DLL-Funktion’?”, 
welche die Malware-Varianten Get2Loader und GraceWire herunterladen. 


Interpol warnte indes vor möglichen Tatgelegenheiten (Phishing, Spam-Mails, Betrug etc.) 
und Ransomware-Angriffen auf mit der Bekämpfung der Covid-19-Pandemie beauftragten 
Infrastrukturen wie Krankenhäuser und Behörden. Konkret konnte bei Interpol die massive 
Verbreitung des Android-Trojaners Cerberus festgestellt werden. 


7” Dynamic Link Library: Eine Sammlung von Programmen und Funktionen, welche bei Bedarf über ein anderes Programm 
(hier Excel) aufgerufen und ausgeführt werden können. 


Cybercrime | Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie 


12 


5. Auswirkungen der COVID-19- 
Pandemie auf die Darknet-Szene 


Allgemeine Handels- und Markbeschränkungen beeinflussten auch den illegalen Darknet- 
Handel, was zu Anpassungen bei inkriminierten Angeboten führte: 


= Durch die Ausgangs- und Reisebeschränkungen und die damit zusammenhängenden 
Logistik- und Lieferschwierigkeiten stiegen generell die Verkaufspreise der Waren. 

= Der Versand wurde von einigen Vendoren auf das Inland beschränkt. 

= Aufgrund der Kontaktbeschränkungen und der verhängten Ausgangssperren nahm der 
Fußgängerverkehr ab, so dass die für den Versand der inkriminierten Güter notwendige 


Nutzung von Einwurfbriefkästen mit einem erhöhten Entdeckungsrisiko verbunden war. 


Generell reagierten die auf den illegalen Marktplätzen vertretenen Vendoren aber heterogen und 
abhängig von lokalen Begebenheiten. 


Auch wenn einige Vendoren den Verkauf von Waren mit Beginn der 
Corona-Krise einstellten, war die Lieferung von Waren aus dem Darknet 
jederzeit möglich. 


Bereits zu Beginn der COVID-19-Pandemie wurde ersichtlich, dass nicht nur im Clearnet, 
sondern auch im Darknet in betrügerischer Absicht eine große Bandbreite von Waren und 
Tutorials mit Corona-Bezug angeboten wurden: Atemschutzmasken, angebliche Antikörper- 
Schnelltests, Anti-Malaria-Medikamente, Medikamente zur Stärkung des Immunsystems oder 
Impfstoffe. Dies umfasste jedoch auch Anleitungen zur Begehung von Betrugsdelikten und zur 
Erlangung wirtschaftlichen Profits aus der Krise. Ähnlich wie im Clearnet konnte auch im 
Darknet ein erhöhtes Aufkommen an Betrugsseiten festgestellt werden. 
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Abbildung 5: Im Darknet zum Verkauf angebotener, angeblicher Antikörper-Test für COVID-19 


Products / Guides & Tutorials / Fraud 


Corona Virus Financial TG 
Guide - Make money from | Piease ensure you 
. . ._: check feedback and 
Outbreak Financial Crisis a espen 
before purchase. 


Qualityrate: 22H: 





Type 
Offers e 5 $ per Guide, for at least HotShop 
1 product 


Seen 35 minutes 





Coins BTC 


Left/Sold 6Guides / 3 Guides 





I Send message | 


Pay with G% 
Colin: Seller's products 
(66) 


Purchase 








type: 
Amount: 1 
Mi Add to 
wishlist 
Details Payment rules Feedback 


About The Product :- 

Corona Virus Financial Guide - Make money from Outbreak Crisis 

is the complete and only guide u need to boost up your financial condition by taking advantage of conditions caused due to 
corona virus 

The guide book has been divided into Following sections:- 





Abbildung 6: Im Darknet angebotener "Corona Virus Financial Guide" 
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Abbildung 7: Im Darknet angebotene Arznei zum Schutz gegen COVID-19 
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6. Zahlungskartenkriminalität 


Sowohl laut polizeilicher als auch externer Quellen bewegten sich der sogenannte „card not 
present fraud / CNPF“? auf einem gleichbleibend hohen Niveau. Signifikante Veränderungen zu 
Zeiten vor COVID-19 waren nicht feststellbar. 


Zunächst war ein genereller Rückgang von Zahlungskarten-Transaktionen feststellbar, was im 
Zusammenhang mit den Ausgangsbeschränkungen und vieler geschlossener Geschäfte/Betriebe 
nicht überraschte. 


Außerdem war eine erhöhte Anzahl von Geldautomatentransaktionen zu verzeichnen. 
Ursächlich hierfür dürfte die zur Anfangszeit der Pandemie festgestellte „Flucht“ ins Bargeld“ 
sein, wobei betrügerische Transaktionen in diesem Zusammenhang nicht bekannt wurden. 


Die auch für dieses Jahr geplanten, internationalen Kontrolltage im Bereich der Zahlungskarten- 
kriminalität von EUROPOL/EC3 unter dem Schirm von EMPACT? wurden aufgrund der Covid- 
19-Pandemie abgesagt. Diese Kontrollaktionen finden jedes Jahr statt und befassen sich mit dem 
betrügerischen Einsatz von Kreditkartendaten und CNPF. Der Ausfall dieser Aktionen könnte 
nach Einschätzung des zuständigen BKA-Fachbereichs deutliche Auswirkungen auf die Bekämp- 
fung des Kriminalitätsphänomens haben. 


?8 Eine Transaktion, bei der der Karteninhaber die Zahlungskarte nicht physisch vorlegen muss 
2 European Multidisciplinary Platform Against Criminal Threats = EU-Politikzyklus zur Bekämpfung 
der organisierten und schweren internationalen Kriminalität 


Cybercrime | Sonderauswertung Cybercrime in Zeiten der Corona-Pandemie 


16 


7. Home-Office als Stresstest - 
DDosS-Angriffe 


Die eingangs bereits erwähnten Folgen der Corona-Pandemie für die Gesellschaft sorgten für 
einen deutlichen Anstieg des Home-Office - und damit des Datenverkehrs in Deutschland. 
Der deutsche Internetknoten DE-CIX verzeichnete einen Anstieg von 10 Prozent bzgl. der 
Gesamtdatenrate gegenüber dem Niveau vor Beginn der COVID-19-Pandemie. 


Auch wenn ein Engpass aufgrund ausreichender Reservekapazitäten 
seitens der Provider nicht zu erwarten war, boten das Home-Office und die 
damit zum kritischen Element gewordenen VPN-Server attraktive 
Angriffsziele für Cyberkriminelle. 


Vor diesem Hintergrund bedarf es laut des IT-Sicherheitsdienstleisters Link11, Mitglied des 
German Competence Centers G4C e.V., „nur geringen Aufwands, um Server und Online-Dienste 
(...) zu überlasten und, je nach Ausgestaltung des Angriffs, einen VPN-Server oder eine Firewall 
zum Absturz zu bringen“. Dadurch steige die Gefahr, mit einem relativ einfach auszuführenden 
DDoS-Angriff alle Mitarbeitenden eines Unternehmens gleichzeitig an ihrer Arbeit zu hindern. 


DDoS-Angriffe (oder deren Androhung) erhielten während der durch die Pandemie forcierten 
Home-Office-Maßnahmen insgesamt ein höheres Bedrohungspotenzial. 


Link11 fasst die Bedrohungslage durch DDoS-Angriffe während der Corona-Krise wie folgt 
zusammen: 


e Im ersten Quartal 2020 betrug die größte Angriffsbandbreite 406 Gbps. 
Dies ist ein Zuwachs von 81 Prozent im Vergleich zum ersten Quartal 2019. 

e Die durchschnittliche Bandbreite der Angriffe im ersten Quartal 2020 betrug 5,0 Gbps, 
im ersten Quartal 2019 4,3 Gbps. 


Auch das BSI stellte eine gestiegene Intensität von DDoS-Angriffen fest?°. Ferner wurde vor 
Attacken auf Fernzugriffe, insbesondere die Kompromittierung des Windows-RDP-Protokolls, 
gewarnt. Diese haben seit Beginn der Corona-Krise um 127 Prozent zugenommen. 


3 Fortlaufender Untersuchungszeitraum 
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8. Ransomware 


International betrachtet war, neben Regierungsbehörden, das Gesundheitswesen ein attraktives 
Ziel für Cyberkriminelle während der Corona-Pandemie: Wie der Cybersecurity-Dienstleister 
Unit42 berichtete, wurden z. B. kanadische Gesundheitseinrichtungen und Universitäten, welche 
an der Bekämpfung von COVID-19 beteiligt sind, mit Ransomware-Varianten angegriffen.?! 
Durch die Notwendigkeit der Aufrechterhaltung der Patientenversorgung war es gerade für 
Akteure von Ransomware attraktiv, diese Ziele anzugreifen, um deren Notlage und Auslastung 
für eine hohe Lösegeldforderung auszunutzen. Derartige Angriffe auf Kritische Infrastrukturen 
waren zwar auch in der Vergangenheit zu verzeichnen - in der besonderen Situation der Pande- 
mie steht jedoch zu befürchten, dass die Auswirkungen solcher Angriffe gravierender ausfallen. 


Verschiedene Quellen? berichteten von einer (internationalen) Zunahme von Ransomware- 
Angriffen auf das Gesundheitswesen®*. Eingesetzt wurden hiernach die Ransomware-Familien 
Maze, Sodinokibi und Ryuk°®. 


Der IT-Security-Dienstleister Coveware berichtete, dass im ersten Quartal 2020 v.a. IT-Dienst- 
leister, Einrichtungen des Gesundheitswesens und des öffentlichen Dienstes die bevorzugten 
Ziele von Ransomware-Angriffen darstellten. Coveware zufolge sei dies ungewöhnlich, da der 
öffentliche Dienst (v.a. Schulen und Bildungseinrichtungen) erfahrungsgemäß erst im Sommer 
vermehrt Opfer von Cyberangriffen werde. 


Es ist insgesamt davon auszugehen, dass Cyberkriminelle die Notlage von KRITIS-Einrichtungen 
(v.a. aus dem Bereich des Gesundheitswesens) ausnutzen, um hohe bzw. erhöhte Lösegeldforde- 
rungen zu verlangen. 


Während der Corona-Pandemie wurden ferner neue Ransomware-Familien identifiziert: 


Die Ransomware „CovidLock“ tarnt sich z.B. als legitime App für mobile Endgeräte, welche 
vermeintlich eine HeatMap über die aktuelle Verbreitung der Krankheit anzeigen soll. Nach der 
Installation verschlüsselt CovidLock das betroffene System und droht mit der Veröffentlichung 
der kryptierten Daten sowie der permanenten Löschung des Telefonspeichers’”. 


Eine weitere aufgetretene Ransomware in diesem Zusammenhang ist „CoronaVirus“®. 
„CoronaVirus“ ist als sog. Wiper einzustufen. Bisherigen Erkenntnissen zufolge sind die Akteure 
hinter dieser Schadsoftware nicht an Lösegeldforderungen interessiert, da kein Lösegeld 
verlangt wird, sondern ausschließlich Daten des betroffenen Systems überschrieben werden. 
Eine Wiper-Malware dient somit zuvorderst der Sabotage von Systemen. 


31 https://unit42.paloaltonetworks.com/covid-19-themed-cyber-attacks-target-government-and-medical-organizations/ 
2 Vgl. Spiegel, 2019. Hacker-Attacke trifft mehrere Krankenhäuser. 

33 Exemplarisch: https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target- 
healthcare-critical-services-heres-how-to-reduce-risk/ 

*\/gl. Artikel von IT-Daily vom 23.03.2020: Fünfmal mehr Malware zu Coronavirus 

3526.03.2020 - bleepingcomputer: Ryuk Ransomware Keeps Targeting Hospitals During the Pandemic; online abrufbar un- 
ter: https://www.bleepingcomputer.com/news/security/ryuk-ransomware-keeps-targeting-hospitals-during-the-pande- 
mic/ 

36 https: //www.coveware.com/blog/q1-2020-ransomware-marketplace-report 

37’ Techrepublic: Covidlock ransomware exploits coronavirus with malicious Android app; 17.03.2020; https://www.techre- 
public.com/article/covidlock-ransomware-exploits-coronavirus-with-malicious-android-app/ 

38 Sonicwall: Coronavirus Trojan Overwritung The MBR, 31.03.2020; abrufbar unter: https://security- 
news.sonicwall.com/xmlpost/coronavirus-trojan-overwriting-the-mbr/ 
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9. Exkurs: Straftaten in Zusammenhang 
mit Videokonferenzanwendungen 


Am 14.04.2020 wurde bekannt, dass Cyberkriminelle Login-Daten für den Videokonferenzdienst 
„Zoom“ errungen haben. Gemäß eigenen Angaben habe die IT-Sicherheitsfirma Cyble im 
Darknet und in einschlägigen Untergrundforen hunderttausende ausgespähter Zugangsdaten- 
sätze entdeckt, die dort zum Kauf angeboten wurden. 


Wie von Zoom selbst bestätigt wurde®® erlangten die Täter diese Zugangsdatensätze durch 
sog. „Credential Stuffing“. Bei „Credential Stuffing“ handelt es sich um eine Methode, bei der 
Zugangsdaten aus älteren Datenleaks bei anderen Diensten dahingehend getestet werden, 
ob auch dort mittels dieser Zugangsdaten eine Anmeldung möglich ist. 


Da die genutzten Zugangsdaten aus anderen Leaks stammen, ist es wahrscheinlich, dass diese 
bereits an anderer Stelle bekannt geworden sind. Eine vollständige Liste aller kompromittierten 
Accounts liegt nicht vor. 


Laut dem US-CERT, dem FBI* und OSINT-Quellen wie Malwarebytes®' nutzen Cyberkriminelle 
verschiedene Schwachstellen der App, welche z.B. Zugriff auf User-Videos erlauben. Besonders 
häufig sei aber das sog. Zoombombing festzustellen. Hierbei verschaffen sich Unberechtigte 
Zugang zu Zoom-Videoschaltkonferenzen (VSKen), indem sie entweder die Meeting-IDs erraten 
oder sich anderweitig beschaffen. Der Schaden durch Zoombombing sei bislang auf das Stören 
der jeweiligen VSK begrenzt. Die Dimension dieser Störungen kann unterschiedlich ausfallen: 
Aus Nordrhein-Westfalen (Bonn) wurde ein Sachverhalt übermittelt, in welchem durch Zoom- 
bombing kinderpornografisches Material während eines Webinars ausgestrahlt wurde*. 


Cyberkriminelle nutzten die Corona-Krise und die damit verbundenen Home-Office-Mafßs- 
nahmen für ihre Zwecke auch aus, indem sie maliziöse Versionen der VSK-App Zoom erstellen. 
Laut Open Source-Quellen beinhalten diese maliziösen Versionen, die vornehmlich von 
Webseiten von Drittanbietern heruntergeladen werden, sog. Coinminer*, RATs* oder Adware®. 
Laut [I-Security-Dienstleister Bitdefender ist die Anzahl an Downloads der „Fake-Zoom“-App 
in Deutschland aber eher gering. 


Die (IT-)Nachrichtenseite Threatpost warnte zudem vor Phishing-Mails, welche auf das 
Abgreifen von Userdaten für Skype abzielten*s. 


39 https: //www.heise.de/security/meldung/Videokonferenz-Plattform-Zoom-Veroeffentlichte-Login-Daten-aus-Creden- 
tial-Stuffing-Angriffen-4702677.html (Abrufdatum 15.04.2020) 

“0 https: //www.us-cert.gov/ncas/current-activity/2020/04/02/fbi-releases-guidance-defending-against-vtc-hijacking-and- 
zoom 
“https://blog.malwarebytes.com/how-tos-2/2020/04/keep-zoombombing-cybercriminals-from-dropping-a-load-on- 
your-meetings/ 

#2 EPOST-Nachricht 2020-0006188392 vom 20.04.2020 

# https://blog.trendmicro.com/trendlabs-security-intelligence/zoomed-in-a-look-into-a-coinminer-bundled-with-zoom- 
installer/ 

“https://blog.trendmicro.com/trendlabs-security-intelligence/webmonitor-rat-bundled-with-zoom-installer/ 

*# https://labs.bitdefender.com/2020/03/infected-zoom-apps-for-android-target-work-from-home-users/ 

* https://threatpost.com/skype-phishing-attack-targets-remote-workers-passwords/155068/ 
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Das Cyber-AZ* berichtete in diesem Zuge von der Erstellung von mit schadhaftem Code ange- 
reicherten Versionen legitimer Apps. Dies betraf u. a. eine in Italien eingesetzte App, welche das 
Infektionsrisiko durch Kontaktüberwachung bewerten soll, sowie Corona-Dashboards, welche 
die Ausbreitung des Virus darstellen. So identifizierte Bitdefender im Mai eine App, welche sich 
als Informationsplattform über das Virus tarnte, sich aber als Screen-Locker herausstellte. 
„About Koronavirus“ blockiert das Android-Smartphone und fordert zur Entschlüsselung eine 
Lösegeldzahlung. Ferner berichtete Bitdefender am 18.05.2020, dass verschiedene maliziöse Apps 
im Umlauf seien, welche nach Installation durch den User SMS und Kontaktdaten stehlen. 


* Nationales Cyber-Abwehrzentrum - Kooperation deutscher Sicherheitsbehörden auf Bundesebene 
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10. Gesamtbewertung und Ausblick 


Die gesellschaftlichen und wirtschaftlichen Auswirkungen der Pandemie sowie die damitin 
Zusammenhang stehenden staatlichen Hilfsmafsnahmen bieten für Cybertäter spezifische 
Angriffsmöglichkeiten. Die Strafverfolgungsbehörden haben zunehmend Versuche festgestellt, 
diese Lage auszunutzen. Aufgrund des weiter bestehenden Gefahrenpotenzials der Pandemie für 
Staat und Gesellschaft und der anhaltenden Verschiebungen diverser Lebensbereiche in den 
virtuellen Raum wird die thematische Bedrohungslage im Cyberbereich als andauernd hoch 
eingestuft. 


Dieser Gefährdungseinschätzung liegen folgende Erkenntnisse und Bewertungen zugrunde: 


Cyberkriminelle greifen bei ihren Aktivitäten auf bewährte Modi Operandi und Malware- 
Familien zurück. Die Corona-Pandemie zeigt dabei einmal mehr auf, dass die Täter sehr rasch 
gesellschaftliche Entwicklungen aufgreifen und zu kriminellen Zwecken ausnutzen. 


Die hauptsächliche Bedrohung geht weiterhin von Phishing und maliziösen/kriminellen Do- 
mains aus. Neben der Erstellung von Fake-Webseiten im Zusammenhang mit der Beantragung 
der Corona-Soforthilfe wurden bundesweite Phishing-Wellen festgestellt, die jeweils zum Ziel 
hatten, persönliche Daten von Antragstellern zu erlangen und in der Folge für mutmaßliche 
Betrugsdelikte nutzen zu können. In mehreren Bundesländern nahmen diese Modi Operandi 
konkreten Einfluss auf die staatliche Auszahlung von Corona-Soforthilfen. 


Es häufen sich ausländische, sicherheitsbehördliche und externe Hinweise, dass Cybertäter 
die Corona-Krise für die Verbreitung der Schadsoftware TrickBot ausnutzen. Eine mögliche 
Verbreitung auch in Deutschland und das in der Vergangenheit bekannt gewordene 
„Zusammenspiel“ der Malware-Varianten TrickBot, Ryuk und Emotet stellen ein bedeutsames 
Gefahrenpotenzial dar. 


Es ist einzukalkulieren, dass Transaktionen nicht nur vermehrt online vorgenommen werden, 
sondern auch der Handel mit Kryptowährungen ansteigen wird. Gyberkriminelle können dies 
ausnutzen und vermehrt Online-Geschäfte und diesbezügliche Zahlungssysteme attackieren. 


Bislang bewegt sich das Aufkommen versuchter Cyberangriffe auf hohem, die Zahl erfolgreicher 
Cyberstraftaten in Deutschland auf mittlerem Niveau. 


Dieser Umstand ist nach hiesiger Einschätzung auch auf die technischen Sicherheitsmafßnahmen 
und die durchgeführten Präventions- und Sensibilisierungsmaf®snahmen in Deutschland zurück- 
zuführen. 


Jedoch: Die globale Corona-Pandemie ist noch nicht überstanden. 


Einer proaktiven Lagebeobachtung sowie einer engen Zusammenarbeit der Polizei mit ihren 
Partnern kommt in diesem Zusammenhang weiterhin eine herausragende Bedeutung zu. 


Die Resilienz der Bevölkerung und Unternehmen gegenüber Social Engineering wird weiter 
auf die Probe gestellt, da potenziell jeder - unabhängig von seinem beruflichen und gesellschaft- 
lichen Status - von der Thematik betroffen sein kann. 
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